Calmery.me

熊本情報セキュリティ勉強会，セキュリティさくらに参加してきました．今回は AWS の松本照吾さんで「クラウド不安，とか言ってる場合じゃない最近のクラウドセキュリティ」というお話．
もう 10 日も経ってしまってますけど...

手書きのメモが汚すぎてどこまでが前半なのか，というか読めない．

前半

まずクラウドは不安なものなのか．
使ってない人は情報の漏洩が不安といい，使っている人はセキュリティが高くなるという．

米国の CIA の技術主任の方はクラウドの方がセキュアだよと言っているそう．なるほど．このギャップをどうやって埋めてきたのか．ちなみに現在のクラウドの流れは 19 世紀ごろの電気の普及と同じ流れだそう．

CAPEX（設備投資）モデルと OPEX（運用コスト）モデル．クラウドの評価として早く，簡単に安く．仮説，検証，フィードバックを繰り返す方がいい．利用者のニーズに応えられるサービスが強い．この辺りで PCIDSS というクレジットカード情報および取り引き情報を保護するための何かが出てきた．よくは覚えていない．

ここからはこれからの常識が変わってくるというお話．従来の機密，完全，可用というのはクラウドでも取り組まれてきている．さらに恩恵としてビッグデータ，分析，インテリジェンスが手に入る．また社内リソースを可視化できる．

セキュリティ，ROI（投資対効果）は求められるのか．セキュリティだけ分けて，取り出して考えることは難しい．変化への適応を追求し，最適なセキュリティへ．

リスクは常に変化する．脅威，脆弱性，情報資産．適応型セキュリティ．予測，防御，検知，対応．この繰り返し．

この変化適応度に応じてセキュリティの種類分けを行う．要は必要なものだけを追加する．セキュリティベストミックス．かっこいい．

後半

Netflix の例が紹介された．本番環境が落ちても次がすぐに立ち上がるらしい．

常時 SSL は必要かも．だがコストがかかり，個人に負荷がかかる．SEO の判断基準になっている．これを AWS は無料でやってくれる．わーい．運用している人はサービスのセキュリティ，証明書の管理をしたいわけではない．このような無駄を省くためのサービス．本来やるべきことに集中するためのセキュリティ．

AWS で採用されている．

Security By Design
- 設計の各段階への要件の組み込み
DevSecOps
- 開発，運用プロセスにセキュリティ評価を組み込む

見たほうがいいということだった．気がする．

ルールがサービスを殺してしまう．組織でサービスを試験利用してみるのもあり．大元で管理できるから利用者が許可いらずで素早く使える．

クラウドはテンプレート化されているのですぐに立ち上げることができる．リファレンスアーキテクチャをテンプレート化．最低限の要件を定義する．ガバナンスポリシーをスクリプト化．セキュリティ要件を満たす環境を自動化し維持する．

さっき出てきた DevSecOps について．個人ではなくチーム，コミュニティ．管理可能，反復可能．Security at scale．CI/CD プロセスの一部として．

クラウドがセキュリティにもたらす価値．

今まで出来なかったことができるようになる

変化や要求に応じる

本当にやるべきことに集中出来る環境を作ること

よく分かっていないので調べた方がよさそう．

AWS すごいってことがよくわかった．自分も触ってみたい．第15回セキュリティさくらのまとめ - Togetterまとめにつぶやきがまとめられている．

LT

カスペルスキーの前田さん
SGR2016 – Security Groups Roundtable, 2016.9.23 | Web Application Security Forum - WASForum の宣伝ということで．行ってみたい．

政倉さん
開発入門者向けの脆弱性学習サイト「ビギクラ!」の紹介．
結果が簡単に見れるのでとてもよさそう．

CyberForce さん
パスワードの管理ソフト．マスターパスワードさえ強力であればパスワードの使い回しが減っていい．持っているアカウントの把握や同期もできて便利らしい．でもマスターパスワード絶対忘れる自信があるので自分には縁がないだろう．

李充根さん
学校で事件．ネットワークの環境がとてもとてもまずい構成だった．ここぞとばかり TeslaCrypt によって暗号化される．セキュリティソフトは体験版のまま期限切れで動作しておらず．
GitHub に TeslaCrack というツールがあった．でも TeslaCrypt は普通 vvv という拡張子にするはずでは．なぜか mp3 になっている．調べてみたら TeslaCrypt3 という改良版だったらしい．TeslaCrack が使用していた脆弱性が修正されていて復号できない．なんとそこで TeslaCrypt の作者がマスターキーを公開．終わった．焼肉を勝ち取ったらしい．焼肉食べたい．

橘さん
CSIRTって知ってますか．知りませんでした．
セキュリティインシデントの受付，調査，対応を行っている．組織内にある CSIRT は組織内 CSIRT というらしい．小さなインシデントに対応，大きなインシデントを防ぐ．メールの例があった．開いたけど対策してたけど大丈夫でしたみたいなの．あらかじめ準備を行っておき何かあった時に冷静に対処する．

竹森さん
タイピングチューブの紹介．紹介といっていいのだろうか．タイピングチューブは動画，主に歌の歌詞に合わせてタイピングの練習をすることができるサービス．仮想キーボードがついたらしい．

前半，後半の間のスイーツタイム．最高でした．
f:id:calmery:20160810195636j:plain
f:id:calmery:20160810195638j:plain

懇親会は Grill de gyan で．
f:id:calmery:20160810195914j:plain
f:id:calmery:20160810195917j:plain
美味しかった．

【git】git pushを取り消す - tweeeetyのぶろぐ的めもを参考にした．

git commit を取り消すには git reset を使うらしい．

$ git log --oneline
67c6b27 Latest update
f5d997c Merge pull request #1
...
$ git reset --hard f5d997c
HEAD is now at f5d997c Merge pull request #1
$ git log --oneline
f5d997c Merge pull request #1
....

これで以前の状態の戻すことができた．

$ git push -f
warning: push.default is unset; its implicit value has changed in
Git 2.0 from 'matching' to 'simple'. To squelch this message
and maintain the traditional behavior, use:

  git config --global push.default matching

To squelch this message and adopt the new behavior now, use:

  git config --global push.default simple

When push.default is set to 'matching', git will push local branches
to the remote branches that already exist with the same name.

Since Git 2.0, Git defaults to the more conservative 'simple'
behavior, which only pushes the current branch to the corresponding
remote branch that 'git pull' uses to update the current branch.

See 'git help config' and search for 'push.default' for further information.
(the 'simple' mode was introduced in Git 1.7.11. Use the similar mode
'current' instead of 'simple' if you sometimes use older versions of Git)

Total 0 (delta 0), reused 0 (delta 0)
To https://github.com/hoge
 + 67c6b27...f5d997c master -> master (forced update)

Calmery.me

みっかぼうずにならないようがんばる

第15回セキュリティさくらに参加してきました

前半

後半

LT

レポジトリへのコミットの取り消し

MySQLのパスワードをリセットする